У меня очень странная вещь, происходящая на компьютере с Windows 10.

У меня есть служба Windows, которая запускается вручную. Я написал скрипт, который запускает сервис, когда на рабочем столе. В основном, net start .

Что произойдет, когда я выйду из системы и снова войду в систему, служба автоматически запустится. Я использую "ForceAutoLogon", который отскакивает от экрана входа обратно в Windows, но это не влияет на другие мои машины с Windows 10, на которых работает тот же сервис.

Как это возможно? Кто-нибудь видел что-нибудь подобное раньше? Есть ли какая-то настройка в Windows или службе, которая сохраняет состояние службы?

|источник

1 ответ1

0

Просмотр событий используется для записи информации о запуске каждой службы (https://stackoverflow.com/a/496675/704977), но, по-видимому, больше не.

Вместо этого вы должны иметь возможность проверять безопасность определенной службы с помощью инструмента «Шаблоны безопасности»: http://windowsitpro.com/systems-management/access-denied-auditing-users-who-might-be-starting-and- остановочных-услуги

  1. Откройте MMC и добавьте оснастку.
  2. Выберите оснастку « Шаблоны безопасности» и добавьте ее в консоль.
  3. Создайте новый шаблон и дайте ему имя.
  4. Откройте новый шаблон, дважды щелкните « Системные службы», чтобы просмотреть список служб на вашем компьютере.
  5. Дважды щелкните по проблемной службе Oculus и нажмите, чтобы включить Определить этот параметр политики в шаблоне.
  6. Нажмите Изменить безопасность.
  7. Нажмите Дополнительно.
  8. Нажмите Аудит.
  9. Нажмите Добавить.
  10. Нажмите « Выбрать принципала», убедитесь, что в этом месте установлен ваш компьютер, введите всех и нажмите « ОК».
  11. Выберите Пуск, остановка и пауза в разделе « Основные разрешения».
  12. Нажмите ОК.

Теперь вы щелкните правой кнопкой мыши на шаблон и сохраните его.

Затем добавьте оснастку «Конфигурация и анализ безопасности» в консоль, откройте (или создайте) базу данных и импортируйте только что созданный шаблон в базу данных.

Теперь вы сможете просматривать в журнале безопасности идентификатор события 560, указывающий на успешный аудит, когда имя объекта - это короткое имя отслеживаемой службы, а зарегистрированные обращения включают команды запуска и остановки, отправленные этой службе. ,

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .